WordPressプラグイン「Easy FancyBox」の脆弱性

実は、私が以前から気になっていた事があります。
今年の2月から、WordPressの人気プラグイン「FancyBox for WordPress」の脆弱性が狙われ、Webサイトがイスラム国を名乗るページに改竄される事件が多発していました。 👉 WordPress 用 FancyBox プラグインにおけるクロスサイトスクリプティングの脆弱性
最新バージョンでは、既に対策済みらしいのですが、当サイトで利用しているプラグイン「Easy FancyBox」は果たして大丈夫なのでしょうか!?

そこで、私はWordPressのフォーラムを調査しました。
以下に、それに関連するQ&Aを貼っておきます。
Google翻訳では訳せないため、一応、私なりに日本語へ訳してみました。
(間違ってるかもしれませんが)
とてもシンプルな回答ですが、とりあえず大丈夫みたいですね! (^_-)

なお、回答で言及された「二つのプラグインが共有」とは、「jQuery」の事を指しているのではないかと思われます。


https://wordpress.org/support/topic/general-question-about-security

Easy FancyBox
[resolved] General question about security (2 posts)

BackpackersUnion
Member
Posted 1 month ago #

Hi RavanH,

This is probably old news to you, but I wanted to ask if the code exploit found in the other plugin “FancyBox” is relevant to your plugin? I’m not sure if they’re related to each other in any other way except the name, but wanted to ask.

Thanks for all your great work and here’s a link to the article

Thanks again,
Carl

https://wordpress.org/plugins/easy-fancybox/



——————————————————————-

RavanH
Member
Plugin Author
Posted 1 month ago #

Hi, no. Although the two plugins share more than the name (the script is called fancybox), the exploit was plugin specific.

 

Easy FancyBox
[解決]セキュリティに関する一般的な質問(2記事)

BackpackersUnion
メンバー
一月前に投稿されました #

RavanH こんにちは

これは、あなたにとって古いニュースかもしれませんが、もし他のプラグン「FancyBox」で、そのコードの脆弱性が見つかったならば、あなたのプラグインと関連するのかを尋ねたい。
もし、それらがその名前を除き、他の何らかの方法でお互いに関連しているのかどうか、私はわかりませんが、お伺いしたいです。
あなたの全ての偉大な仕事に感謝し、そして、ここはその記事へのリンクです。

再度、感謝します。
カール

https://wordpress.org/plugins/easy-fancybox/

———————————————————————-
RavanH
メンバー
プラグインの作者
一月前に投稿されました #

こんにちわ、いいえ。
その名(スクリプトがfancyboxと呼ばれている)以上に二つのプラグインが共有するのですが、その脆弱性はプラグインの仕様でした。

 

* 4月23日 追記
本件に関しては、以下のリンクに示されたWordPressの新しいリリースにより、クロスサイトスクリプティングの脆弱性が改善され、セキュリティが更に強化されたようです。 (このサイトは、既に新バージョンに更新済みです)

WordPress 4.1.2 Security Release

なお、WordPressの新バージョンへの更新は急がれますが、代わりにWordPressやプラグインの動作に不具合が発生するかもしれません。

* 5月9日 追記
WordPress 4.2.2のリリースにより、WordPress 4.1.2/4.2/4.2.1に存在した脆弱性と大半のバグが修正されました。

WordPressマルチリンガルサイトの推奨プラグインを全解説!

去年の暮れにサーバーを移転して以来、今年の初頭より、約2ヶ月の開発期間を設け、空いた時間に、WordPressのプラグインであるTransPoshをベースとしたマルチリンガルサイトとして、このサイトの構築を日々行ってきました。

今回の開発では、WordPressのUIの改善とシステム管理に力点を置いています。
未だ若干の不満が残っていますが、一応、今月末をもって開発完了とし、今後はコンテンツの拡充に努めたいと思います。

開発完了報告として、このサイトで導入したWordPressの推奨プラグインの全てを写真付きの解説で、時系列で以下に纏めます。

[ 2015年の2月16日までに追加した機能 ]

1. UI関連
(1) カレンダー表示
営業日と休日、イベント開催日を表示するカレンダーをサイドバーに設置しました。
プラグイン「Biz Calendar」の導入で実現しています。
Biz Calendarは、日本のプラグインです。 非常にシンプルで使い易いです。
私は、PHPで書かれたこのプラグインのCSS定義を修正する事で、カレンダーの外観をカスタマイズしました。

 

(2) マルチリンガルのサポート
当サイトを多言語で表示させるためのプラグイン「Transposh」を導入しました。
サイドバーから、表示言語を切り換えることが出来ます。
自動翻訳エンジン関しては、初期設定でGoogleかBingを選べます。本サイトでは、Googleに設定されています。 *
その自動翻訳の精度は、使えるレベルではありませんが、Transposhの導入で、サイトのマルチリンガル化をスマートに実現出来ます。
このプラグインは、手軽には使えますが、日本語の年月日などにおかしな変換が発生しますので、公式なマルチリンガルサイトには使えないと思います。
なお、Transposhのプラグイン設定「Settings」タブの中の「General Settings」で「Rewrite URLs」のチェックを入れてはいけないようです。このパーマリンク設定にした場合、デフォルトの言語以外のページ内の外部サイトへのリンクが正常に機能しなくなります。

* 5月8日追記: 現在、Googleの自動翻訳が機能しないため、一時的にBingに設定しました。
* 6月5日追記: Transposh「バージョン 0.9.7.0」のリリースで Googleの翻訳機能が復活しています。
* 2016年9月10日追記: 現在このプラグインは正常動作しないため推奨できません。最も推奨されるプラグインは、Polylangです。⇒ WordPressプラグインPolylangによるクラブフェリスWebサイトの多言語化

 

(3) コンタクトフォームの設置
Googleの「No CAPTCHA reCAPTCHA」に対応するコンタクトフォームです。
プラグイン「Contact Form 7」、「Really Simple CAPTCHA」、「WordPress ReCaptcha Integration」の導入で実現しています。

 

(4) ゲストブックの設置
Googleの「reCAPTCHA」に対応するゲストブックです。
プラグイン「DMSGuestbook」の導入で実現しています。

 

(5) サイトマップ
Topメニューに「サイトマップ」のメニューを追加しました。
プラグイン「PS Auto Sitemap」の導入で実現しています。

 

2. SPAM対策
(1) Akismet
WordPressに標準で搭載されたSPAM対策用のプラグインです。
このプラグインにより、大概のSPAM投稿が捕捉されます。

 

(2) Google No CAPTCHA reCAPTCHA
「No CAPTCHA reCAPTCHA」は、Googleが開発した人間かロボットかを判別する最新のAPIであり、SAPM投稿を元から排除するためのメカニズムです。
これは、Akismetで捕捉しきれないSAPM投稿や、SPAMロボットからの投稿なのか、人間の投稿なのかを判断するのが困難な投稿に対し、抑止効果を発揮します。
プラグイン「Google Captcha (reCAPTCHA) by BestWebSoft」の導入で実現しています。 ※

No CAPTCHA reCAPTCHA (Google Chrome)

No CAPTCHA reCAPTCHA (Google Chrome)

※10月13日 追記
このプラグインは、色々と問題が生じたため、現在、代わりのプラグイン「WordPress ReCaptcha Integration」を使用しています。
*WordPress Forums › Support » Reviews ⇒ Doesn’t work in login form

 

3. 統計情報

(1) NewStatPress
サイドバーのサイト統計情報をプラグイン「NewStatPress」を使って表示させています。 統計情報の詳細は、サイト管理者の管理画面から見る事が出来ます。
なお、NewStatPressのData Purgeの設定において、「Never」以外を指定すると、集計開始から指定された期限に達した時点で全ての統計情報が削除され、再度、集計開始の状態となってしまいますので、十分ご注意下さい。
私はこの設定で一度失敗していますから。 (笑) *

* 5月8日 追記: その後、NewStatPressの最新バージョンで、Data Purgeの設定を一ヶ月に設定し、DBをクリアしたところ、一ヶ月間のデータを残し、カウンタ値も保存されました。 カウンター値が0になる現象は、単なるバグだったようです。 orz
👉 Look at [resolved] access number automatically reset everyday (4 posts)

* 7月30日 追記
Data Purgeの設定で、「Never」以外の値を指定した場合、カウンタ値は、その期間のデータのみが集計されます。
よって、総合カウンタは保存されませんので、ご注意下さい。
因みに、私はNewStatPressのDBの肥大化を防ぐため、集計期間を3ヶ月に設定し、総合カウンタの集計については、NewStatPressのカウンタ値を使用せずに、Perlのプログラムの集計値を使用するようにしました。
カウンタ管理に関しては、こちらの関連記事もご覧下さい。👉 ガラケー対応とシステムの改修

 

(2) Jetpack
プラグイン「Jetpack by WordPress.com」のWordPress.com 統計情報より、シンプルなサイト統計情報を管理画面から見る事が出来ます。
Jetpackの利用で、ブログを WordPress.com アカウントと連携させ、各種の便利な機能を利用できます。

※10月14日 追記
私は、「サイト統計情報」、「シングルサインオン」、「グラバターホバーカード」 、「パブリサイズ共有」、「Protect」、「購読」 、「モニター」の機能を使用しています。
なお、「Photon」を有効にすると、プラグイン「EasyFancyBox 」が無効となるため、「Photon」は無効にしています。

 

(続きを読む…)